Ook een vereniging of stichting valt volledig onder de AVG — ook als er geen betaalde krachten zijn en alles met vrijwilligers draait. Een ledenadministratie is een verwerking van persoonsgegevens, en het verkopen of delen van ledengegevens met sponsoren is precies waar de Autoriteit Persoonsgegevens hard op ingreep. De KNLTB kreeg in 2020 een boete van €525.000 voor het tegen betaling verstrekken van gegevens van honderdduizenden leden aan sponsoren, zonder geldige grondslag — een oordeel dat later door de rechter in stand bleef. Deze gids laat zien hoe u de ledenadministratie, foto’s, ledenlijsten en de inzet van vrijwilligers AVG-proof inricht.
Key Takeaways
- De AVG geldt onverkort voor verenigingen en stichtingen; de omvang van de organisatie doet daar niets aan af.
- Ledengegevens delen met of verkopen aan sponsoren vereist een geldige grondslag — de KNLTB-boete van €525.000 (2020) laat zien wat er misgaat.
- Foto’s van leden, en zeker van minderjarigen, verwerkt u op basis van toestemming per doel; leg die toestemming vast.
- Ook vrijwilligers met toegang tot gegevens vallen onder uw verantwoordelijkheid; regel geheimhouding en toegangsbeperking.
- Een verwerkingsregister en heldere grondslagen zijn de basis van de verantwoordingsplicht.
Grondslag voor de ledenadministratie
Het bijhouden van naam, adres, contactgegevens en lidmaatschapshistorie van leden is nodig om de vereniging te laten functioneren. De grondslag hiervoor is doorgaans de uitvoering van de lidmaatschapsovereenkomst uit artikel 6 lid 1 sub b AVG: zonder deze gegevens kunt u het lidmaatschap niet uitvoeren. Voor het versturen van uitnodigingen voor de algemene ledenvergadering en verenigingsnieuws kunt u zich vaak op gerechtvaardigd belang baseren.
Verzamel niet meer dan nodig. Een geboortedatum is relevant voor een leeftijdscategorie in de sport, maar niet voor een kaartclub. Leg per gegevenscategorie een bewaartermijn vast en verwijder gegevens van oud-leden binnen een redelijke termijn na opzegging, met inachtneming van de fiscale bewaarplicht voor de financiële administratie.
Ledenlijsten en sponsoren: de KNLTB-les
De KNLTB-zaak is het ijkpunt voor verenigingen. De bond verkocht persoonsgegevens van leden aan twee sponsoren, die de leden vervolgens per post en telefoon benaderden. De AP oordeelde dat hiervoor geen geldige grondslag bestond: het puur commerciële belang van de verkoop woog niet op tegen de privacy van de leden, en de leden hadden hiervoor geen geldige toestemming gegeven. De boete bedroeg €525.000.
De les is scherp. Wilt u ledengegevens delen met of gebruiken voor sponsoren, dan heeft u daarvoor specifieke, aantoonbare toestemming nodig, of een grondslag die de toets doorstaat. Verwerk het commerciële doel nooit stilzwijgend mee in het lidmaatschap. Voor sponsorcommunicatie richting leden gelden bovendien de regels voor direct marketing.
Foto’s van leden en minderjarigen
Verenigingen publiceren graag foto’s van wedstrijden, uitvoeringen en evenementen. Een herkenbare foto is een persoonsgegeven. De grondslag is meestal toestemming, want een sportclub of muziekvereniging heeft geen zwaarwegend belang dat opweegt tegen de privacy van het afgebeelde lid.
Regel dit per doel: toestemming voor een foto in het clubblad is iets anders dan toestemming voor plaatsing op sociale media, waar het bereik veel groter is. Voor kinderen onder de 16 jaar is toestemming van een ouder of voogd nodig (artikel 5 UAVG). Werk met een eenvoudig toestemmingsformulier en registreer de keuze; zie onze voorbeelden van geldige toestemming. Bied altijd de mogelijkheid om toestemming later in te trekken.
Vrijwilligers en toegang tot gegevens
Bij verenigingen beheren vrijwilligers vaak de ledenadministratie, de website of de betalingen. Dat maakt hen niet tot zelfstandige verantwoordelijken, maar u blijft als vereniging verantwoordelijk voor wat zij met de gegevens doen. Regel drie dingen:
- Toegangsbeperking: alleen de vrijwilligers die de gegevens nodig hebben, krijgen toegang.
- Geheimhouding: laat vrijwilligers met toegang tot ledengegevens een geheimhoudingsafspraak tekenen.
- Beëindiging: trek toegang direct in als iemand stopt.
Gebruikt u externe tools voor de ledenadministratie, nieuwsbrieven of betalingen, dan zijn dat verwerkers en sluit u een verwerkersovereenkomst. Let bij gratis tools op waar de gegevens worden opgeslagen en of er een DPA beschikbaar is.
Verantwoordingsplicht op verenigingsniveau
De AVG kent een verantwoordingsplicht: u moet kunnen aantonen dat u compliant bent. Voor een vereniging betekent dit minimaal een verwerkingsregister, een privacyverklaring op de website, vastgelegde toestemmingen voor foto’s en marketing, en een basisproces voor datalekken. De uitzondering op de registerplicht voor organisaties met minder dan 250 medewerkers geldt bijna nooit, omdat u structureel gegevens verwerkt.
Veel verenigingen worstelen met beperkte tijd en wisselende vrijwilligers. Net als bij kleine bedrijven en het mkb helpt het om de administratie proportioneel maar structureel in te richten; platforms zoals Legiscope kunnen het register en de documentatie centraal en overdraagbaar houden, ook als bestuursleden wisselen.
Rechten van leden en de informatieplicht
Leden zijn betrokkenen met volwaardige AVG-rechten. Ze mogen hun gegevens inzien, laten corrigeren en — binnen de grenzen van eventuele wettelijke bewaarplichten — laten verwijderen. Richt een eenvoudig proces in om een inzageverzoek binnen een maand te behandelen, en wijs één bestuurslid aan als aanspreekpunt voor privacy. De informatieplicht uit artikel 13 van de AVG verlangt dat u leden bij inschrijving informeert over de verwerking; een korte privacyverklaring op de website volstaat meestal.
Wees terughoudend met wat u van leden vraagt. Een verjaardag voor de felicitatie is aardig, maar niet nodig; een BSN heeft een vereniging vrijwel nooit een geldige reden om vast te leggen. Pas dataminimalisatie toe en toets per veld op het inschrijfformulier of het echt nodig is.
Datalekken en gratis tools
Ook een vereniging kan een datalek hebben: een gestolen laptop, een ledenlijst per ongeluk breed rondgemaild, een gehackt e-mailaccount. De meldplicht geldt onverkort — bij risico voor betrokkenen meldt u binnen 72 uur bij de toezichthouder. Wees extra alert bij gratis tools voor ledenadministratie of nieuwsbrieven: controleer waar de gegevens worden opgeslagen, of er een verwerkersovereenkomst beschikbaar is en of de leverancier voldoende beveiliging biedt. Een gratis dienst zonder verwerkersovereenkomst is een compliancerisico dat u met een klein budget vaak eenvoudig kunt afdekken. Leg ook vast wie binnen het bestuur verantwoordelijk is voor privacy, zodat kennis niet verdwijnt bij een bestuurswissel. Draag bij het overdragen van taken de toegang tot de ledenadministratie gecontroleerd over en trek de toegang van de vertrekkende vrijwilliger direct in. Bespreek privacy bovendien kort in de algemene ledenvergadering: leden mogen weten hoe hun gegevens worden gebruikt en beschermd, en die transparantie versterkt het vertrouwen in het bestuur. Een vereniging die dit goed regelt, loopt niet alleen minder risico, maar straalt ook betrouwbaarheid uit naar leden en sponsoren.
FAQ
Geldt de AVG ook voor kleine verenigingen zonder personeel?
Ja. De AVG maakt geen uitzondering voor kleine of vrijwilligersorganisaties. Zodra u een ledenadministratie voert, verwerkt u persoonsgegevens en gelden de verplichtingen: een grondslag, transparantie, bewaartermijnen en beveiliging. Wel mag u de invulling afstemmen op de omvang en het risico.
Mag ik ledengegevens delen met een sponsor?
Alleen met specifieke, aantoonbare toestemming van de leden of een grondslag die de belangenafweging doorstaat. De KNLTB-boete van €525.000 laat zien dat een puur commercieel belang onvoldoende is en dat stilzwijgend meeverwerken in het lidmaatschap niet mag.
Mag ik foto’s van leden op de website of sociale media plaatsen?
Doorgaans alleen met toestemming, en per doel: toestemming voor het clubblad dekt niet automatisch plaatsing op sociale media. Voor kinderen onder de 16 heeft u toestemming van een ouder of voogd nodig. Leg de toestemming vast en maak intrekken eenvoudig.
Moet een vereniging een verwerkingsregister bijhouden?
In de praktijk vrijwel altijd. De uitzondering voor organisaties onder 250 medewerkers vervalt zodra u structureel gegevens verwerkt, wat bij een ledenadministratie het geval is. Een eenvoudig register dat de verwerkingen, grondslagen en bewaartermijnen beschrijft, volstaat voor de meeste verenigingen.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial